Datendiebstahl bei Emissionshändlern

Ein groß angelegter Datendiebstahl hat die amtlichen Register für den Emissionshandel in halb Europa lahmgelegt. In Deutschland und Tschechien waren die Betrüger mit illegalen Transaktionen beim Zertifikatehandel erfolgreich. Der Schaden beträgt allein in Deutschland drei Millionen Euro.

Betrüger haben bei einer weltweiten Internet-Attacke gegen den Emissionshandel mit Verschmutzungs-Rechten drei Millionen Euro Beute allein in Deutschland gemacht. Das bestätigten das Umweltbundesamt (UBA) und die ihr unterstellte Emissionshandelsstelle DEHSt heute in Berlin. Das Bundeskriminalamt (BKA) ist eingeschaltet.

Der Erwerb von CO2- Zertifikaten (Verschmutzungs-Rechte) berechtigt Kraftwerksbetreiber und energieintensive Industrie wie auch Papier- und Zementfabriken zum begrenzten Ausstoß von Kohlendioxid.

Erfolgreich waren die Täter auch in Tschechien, wie die EU- Kommission mitteilte. Danach wurden 17 nationale Handelsregister der EU geschlossen. Die betroffenen Unternehmen und das UBA haben inzwischen Strafanzeigen gegen Unbekannt erstattet. Von den Fahndern des BKA in Wiesbaden hieß es heute: "Wir kennen den Fall und prüfen den Sachverhalt."

Opfer nicht ganz schuldlos

Der Verlust von drei Millionen Euro betrifft nur sieben von 2000 Kunden des deutschen Handelssystems mit Kohlendioxid (CO2)-Zertifikaten. Allerdings seien sie selbst nicht ganz schuldlos, wie DEHSt-Leiter Hans-Jürgen Nantke, deutlich machte. Sie seien "leider" auf die e-mail-Anfragen nach Konto-Passwörtern hereingefallen, "obwohl wir immer wieder Warnungen vor dem Phishing (bekannt aus dem Online-Banking) ausgesprochen haben", sagte er der dpa.

"Klar ist, dass ein absoluter Schutz vor Betrug bei der freiwilligen Weitergabe von Kontozugangsdaten durch technische Maßnahmen des Registers nicht möglich ist, sondern immer auch der Mitwirkung durch die Nutzer bedarf", heißt es in der heutigen Erklärung der DEHSt.

"Ein durchorganiserter Coup"

Die Herkunft der Betrüger ist laut Nantke bisher unbekannt: "Es stecken Kriminelle dahinter, die das Handelssystem weltweit mit ihren e-mails überzogen haben. Das war ein gut durchorganisierter Coup." Um einen typischen Hacker-Angriff auf die Internet-Plattform habe es sich nicht gehandelt.

Innerhalb kurzer Zeit hätten die Betrüger mit den Daten der Geschädigten rund 250 000 CO2-Zertifikate von deren Konten gestohlen und auf ihr Konto nach Dänemark überwiesen, sagte Nantke. Von dort seien die Verschmutzungsrechte mit dem aktuellen Börsenwert von je 12 Euro über weitere Konten geleitet worden. "Dann sind sie an Emissionshändler weiterverkauft worden." Eine Rückgabepflicht für die unberechtigt erworbenen Emissionen werde geprüft. Die Fälle seien von den sieben Unternehmen bei der Handelsstelle gemeldet worden.

CO2-Zertifikate-Handel nicht gefährdet

Der Handel mit CO2-Zertifikaten über die Leipziger EEX-Börse und Broker sei nicht gefährdet, betonte Nantke. Die Eintragungen in die amtlichen Datenbanken seien gesperrt worden, nachdem die Behörden am vergangenen Donnerstag Wind von dem Datendiebstahl bekommen hatten. Ab morgen seien die Register für die Daten-Erfassung wieder geöffnet, kündigte Nantke an. Die bisherigen Konto-Zugänge seien jetzt bereits geändert worden. Daneben gelte aus Sicherheitsgründen ohnehin schon, dass die Unternehmen alle 60 Tage das Passwort ändern müssten.

Auch an der Leipziger Börse EEX hieß es, der Börsenhandel sei nicht beeinträchtigt worden. Die Brüsseler EU-Kommission stellt nun Empfehlungen für mehr Sicherheit zusammen und wird sie an die EU- Mitgliedsstaaten senden. Die deutsche Emissionshandelsstelle hatte bereits am letzten Freitag die Unternehmen gewarnt.

Die "Financial Times Deutschland" hatte heute über einen groß angelegten Datendiebstahl und Hacker-Angriff auf den Emissionshandel berichtet.

red. mit dpa